O fim dos anti-virus

 Posted by on 16 de Junho de 2012  Software
Jun 162012
 

A segurança informática é de extrema importância para todos, e os softwares anti-virus tornaram-se quase indispensáveis em qualquer computador.

No entanto, estes programas estão rapidamente a tornar-se obsoletos, e a segurança efectiva oferecida por eles é, actualmente, pouco ou nenhuma.

Faz agora duas semanas que uns laboratórios de segurança informática no Irão, Russia e Hungria anunciaram ao mundo a descoberta do Flame, e que foi intitulado “o mais complexo malware alguma vez encontrado”.

A questão é que o Flame não é um malware recente, e actua já à mais de dois anos copiando documentos, gravando audio, gravando pressões de teclas e cliques de rato, tráfego de internet, chamadas pelo Skype, e fazendo capturas de ecrã de vários sistemas informáticos infectados. E estes dados eram enviados para alguns servidores de comando e controlo, sem que qualquer software de segurança o detectasse.

Ora o motivo porque este vírus passava sem ser detectado prende-se com a forma completamente ultrapassada como os actuais antivirus detectam os mesmos. E neste caso revelaram-se um completo falhanço.

E os anti-virus que equipam os computadores mais importantes do mundo não são diferentes dos nossos, com as ameaças a serem verificadas comparativamente a uma base de dados de “assinaturas” conhecidas que são actualizadas constantemente por empresas como a F-Secure e a McAfee. Acreditava-se assim que com uma base de dados sempre actualizada seria possível afastar as ameaças.

Mas a verdade é que muitos vírus, como este Flame, consegue ludibriar completamente um software que funcione sob esses principios aos modificar de forma extremamente complexa o seu código e forma de funcionamento. Trata-se de uma situação que já não é novidade, mas que atinge agora proporções nunca antes imaginadas.

E os actuais anti-virus, face a estas ameaças portam-se como linhas Maginot, a famosa linha de defesa Francesa francesa da segunda guerra mundial que era intransponível e que defendia a França de ataques Alemães directos, mas que os Alemães simplesmente contornaram ao entrarem no País pela Bélgica.

No entanto há uma nova estratégia para estes sistemas de defesa e que passarão não pela análise do código do anti-vírus, mas pela análise daquilo que ele faz. Esta é uma situação que se fala à muito, mas que se tem tornado difícil de implementar. Assim, por muito que vírus como o Flame alterem o seu código para passarem despercebidos, quando estes iniciarem a recolha de dados, ele será detectado por isso. Trata-se de uma estratégia onde o anti-virus se deixa de centrar na arma, passando a concentrar-se no alvo. E quando o alvo é focado, o anti-virus dispara e actua.

Actualmente a empresa CrowdStrike,uma empresa baseada na California, e fundada por veteranos da indústria dos anti-virus, e que recebeu 26 milhões de dólares em fundos para a pesquisa de soluções para situações como esta, possui já uma tecnologia que está pronta para ser apresentada que afirma poderá detectar todo o tipo de ataques, mesmo os desconhecidos, e inclusive detectar o ponto de partida do mesmo.

Como os programadores referem, independentemente do método usado, o objectivo é sempre o mesmo, o aceder e roubar dados. E é por aí que a sua tecnologia irá funcionar, analisando os dados transferidos e verificando as intenções de destino dessas transferências.

Uma empresa que possui uma aproximação semelhante é a Mykonos Software, que desenvolve tecnologia de protecção de websites e que detectando um ataque opta por lhe enviar dados falsos dentro do tipo de dados procurados. Assim, caso o assaltante tente infiltra-se numa base de dados com nomes de utilizadores e passwords, o programa dar-lhe-à o que pretende, usernames e passwords. No entanto os dados serão falsos e desta forma o atacante nunca saberá ao certo se o seu ataque está a ser bem sucedido ou está meramente a ser “aldrabado” pelo sistema, forcando-o a desistir do ataque. A Mykonos foi adquirida pela Juniper Networks que se mostrou bastante interessada nesta tecnologia.

O Flame, tal como o Stuxnet não é um vírus normal e a sua proveniência é o mundo da espionagem internacional, sendo que ao ser revelado a sua estrutura e tecnologia está a ser usada por criminosos com menores recursos, expondo ao risco os sistemas informáticos de todo o mundo.

Publicidade

Sorry, the comment form is closed at this time.